HackTricks CloudGCP - Serviceusage Privesc
Tip
Ucz się & ćwicz AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
Wspieraj HackTricks
- Sprawdź subscription plans!
- Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.
serviceusage
Niżej wymienione uprawnienia są przydatne do tworzenia i kradzieży API keys, nie jest to z dokumentacji: API key to prosty zaszyfrowany ciąg, który identyfikuje aplikację bez przypisanego podmiotu. Są przydatne do anonimowego dostępu do publicznych danych, i są używane do powiązania żądań API z Twoim projektem w celach limitów i rozliczeń.
Dlatego mając API key możesz sprawić, że ta firma zapłaci za Twoje użycie API, ale nie będziesz w stanie eskalować uprawnień.
Aby poznać inne uprawnienia i sposoby generowania API keys sprawdź:
serviceusage.apiKeys.create
Znaleziono nieudokumentowane API, które można użyć do tworzenia API keys:
Tworzenie API key przy użyciu nieudokumentowanego API
```bash curl -XPOST "https://apikeys.clients6.google.com/v1/projects/serviceusage.apiKeys.list
Odkryto kolejne nieudokumentowane API służące do listowania API keys, które zostały już utworzone (API keys pojawiają się w odpowiedzi):
Listowanie API keys przy użyciu nieudokumentowanego API
```bash curl "https://apikeys.clients6.google.com/v1/projects/serviceusage.services.enable , serviceusage.services.use
Dzięki tym uprawnieniom atakujący może włączyć i używać nowych usług w projekcie. To może pozwolić atakującemu na włączenie usług takich jak admin lub cloudidentity, aby spróbować uzyskać dostęp do informacji Workspace lub innych usług w celu pozyskania interesujących danych.
Źródła
Wspieraj HackTricks i zyskaj korzyści!
Pracujesz w firmie zajmującej się cyberbezpieczeństwem? Chcesz, aby Twoja firma była reklamowana w HackTricks? albo chcesz mieć dostęp do najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF? Sprawdź SUBSCRIPTION PLANS!
Odkryj The PEASS Family, naszą kolekcję ekskluzywnych NFTs
Zdobądź official PEASS & HackTricks swag
Dołącz do 💬 Discord group lub telegram group lub śledź mnie na Twitter 🐦@carlospolopm.
Podziel się swoimi trikami, przesyłając PRy do hacktricks github repo****
.
Tip
Ucz się & ćwicz AWS Hacking:
Ucz się & ćwicz GCP Hacking:
Ucz się & ćwicz Az Hacking:Wspieraj HackTricks
- Sprawdź subscription plans!
- Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.